Государство, регуляторы и крупные платформы синхронно ужесточили требования к идентификации участников цифровых процессов — людей, компаний, ИИ-агентов и устройств. Госдума готовится принять пакет «Антифрод 2.0», Минфин обсуждает «приземление» иностранных криптобирж, биометрия становится обязательной для маркетплейсов и микрофинансовых организаций, Ассоциация больших данных выступает против объединения обезличенных данных в «госозере», на крипторынке появляется процедура KYA для ИИ-ботов, ГРЧЦ предлагает соцсетям превентивно блокировать дипфейки, а Microsoft отказывается от SMS-кодов после волны атак на облачные сервисы.
К привычному KYC-контуру добавляется ещё один уровень должной осмотрительности (due diligence). ИИ-агенты берут под своё управление витрину продаж и становятся основным интерфейсом общения с клиентом. Регуляторы и потребительские организации задают один и тот же вопрос: кто отвечает за решения, которые принял «умный ассистент»: платформа, банк, маркетплейс или поставщик модели? На этом фоне идея KYA (Знай Своего Агента / Know Your Agent) складывается в конкретный набор процедур: реестр агентов, описание их прав, журналы действий и интеграция с KYC/AML-контуром.
«Антифрод 2.0»: государство достраивает периметр ответственности
Председатель Госдумы Вячеслав Володин подтвердил, что пакет мер «Антифрод 2.0» может быть принят уже в мае. В числе обсуждаемых положений — маркировка международных звонков, детские сим-карты с родительским контролем, восстановление доступа к «Госуслугам» только доверенными способами, ограничения VPN-сервисов и запрет провайдерам хостинга предоставлять мощности владельцам заблокированных в России ресурсов. С 2025 года парламент принял в этой сфере 11 федеральных законов («Ведомости»; «Коммерсантъ»).
По данным МВД, за первые три месяца года количество случаев мошенничества снизилось на 18,3%, дистанционных обманов — на 22,7%, преступлений в области компьютерной информации — на 45,3%. Обращения в Банк России по поводу финансового мошенничества сократились на 40%. Параллельно регулятор выпустил методические рекомендации по контролю наличных операций: для физических лиц ориентир — внесение от 5 млн руб. за 30 дней при высокой доле наличных в обороте, для юридических лиц и ИП — от 30 млн руб., если операции нехарактерны для бизнеса клиента.
Управление по борьбе с киберпреступностью МВД призвало граждан минимизировать объём персональной информации в публичных профилях: удалять домашние адреса, телефоны, данные родственников, избегать фотографий с геометками. В Общественной палате предложили поднять возраст допуска к социальным сетям до 14 лет (URA.news; РИА Новости).
Государство одновременно работает по нескольким направлениям. Телеком-операторов обязывают маркировать международные звонки, чтобы мошенникам было сложнее звонить под видом банков и ведомств. Доступ к «Госуслугам» можно будет восстановить только через доверенные каналы — это закрывает популярный способ угона аккаунта. Хостинг-провайдерам запрещают предоставлять мощности заблокированным ресурсам, чтобы мошеннические сайты не возрождались на новых адресах. Для детей вводят отдельные сим-карты с родительским контролем и предлагают поднять возраст в соцсетях до 14 лет. Самих пользователей МВД призывает убрать из открытого доступа лишние личные данные. Снижение статистики мошенничества подтверждает, что принятые меры работают. Но атаки уходят туда, где формальной защиты недостаточно: фишинг отправляется с легитимных доменов, доступ к данным мошенники получают через ИТ-подрядчиков, основным инструментом становится социальная инженерия. Соответствие требованиям на бумаге уже не означает, что компания защищена.
Для бизнеса это означает обязательную подготовку к новому слою контролей: уведомления о подозрительных операциях по новым порогам ЦБ, доверенные каналы восстановления доступа, журналирование риск-операций и инструктажи сотрудников по цифровой гигиене.
KYA: от концепции к проверке
Пока рынки обсуждают токены «я — человек» и биометрические паспорта, в профессиональной повестке появляется ещё один уровень due diligence. Это Know Your Agent. Под агентами здесь понимаются цифровые сущности: чат-боты, рекомендательные системы и голосовые ассистенты, которые ведут клиента по воронке до сделки, но при этом остаются в тени для регулятора.
На практике это выглядит так. Компания заводит реестр таких агентов, прописывает их права и ограничения, назначает владельца внутри бизнеса и регулярно пересматривает их решения и журналы действий. По каждому ИИ-сценарию должны быть понятны источник данных, границы ответственности с подрядчиками и перечень действий, которые агент вправе выполнять без участия человека.
KYC отвечает на вопрос, кто перед компанией. KYA отвечает на другой: кто действует от имени компании. В этой роли может оказаться сотрудник, внутренний ИИ-сервис, модель партнёра или внешний ассистент, встроенный в клиентский путь. От ответа зависит, на ком окажется ответственность за обещание, принятое решение или ошибку: на компании, поставщике модели или партнёре.
BEUC против Big Tech: алгоритмы как объект надзора
Европейская организация потребителей BEUC и 29 национальных объединений из 27 стран направили в Еврокомиссию жалобы на Google, Meta и TikTok. Предмет претензий: мошенническая финансовая реклама и недостаточное исполнение обязанностей по Регламенту ЕС о цифровых услугах (Digital Services Act). По данным BEUC, за период с декабря 2025 года по март 2026 года потребительские объединения подали платформам около 900 жалоб на подозрительные финансовые объявления: обещания «дохода без риска», мошеннические интернет-магазины (fakeshops), фиктивные курсы по заработку на бирже и инвестициям. Платформы удалили в среднем чуть больше четверти таких объявлений: TikTok — 21 %, Meta — 43 %, Google — 60 %.
Связь с KYA здесь прямая. Алгоритмическая лента и рекомендательная система работают как самостоятельные агенты влияния на пользователя. Например, в кейсе BEUC ответственность платформы по DSA возникает уже за то, что алгоритм пропускает мошенническое объявление в финансовый таргетинг, а не только за конкретного рекламодателя. Максимальный штраф по DSA может достигать 6 % от годового оборота компании за предыдущий финансовый год. Для глобальных игроков уровня Meta, Google и TikTok речь идёт о миллиардах долларов.
Для финансового и финтех-сектора отсюда следуют два вывода:
- алгоритм рекомендаций сам становится предметом регуляторного интереса: вопросы «почему мне показали этот оффер» и «кто решил, что мне можно повысить лимит» уходят из UX в сферу прав потребителей и справедливого кредитования (fair lending)
- KYA-рамка помогает заранее распределить ответственность: если маркетинг или скоринг передан ИИ-агенту, регулятор включает его в контур компании, и не считает внешним «чёрным ящиком».
Для российского финансового рынка появление таких требований становится вопросом времени. Вслед за общим регулированием ИИ появятся требования к прозрачности алгоритмов в финансах: таргетингу рекламы, рекомендации продуктов, логике кредитных и скоринговых решений.
Microsoft, ключи доступа и роль агента
Microsoft объявила о поэтапном отказе от SMS-аутентификации и восстановления доступа для личных аккаунтов. На замену приходят ключи доступа (passkeys), приложение-аутентификатор и подтверждённый резервный email (Microsoft Support). На корпоративные сценарии Entra ID решение пока не распространяется. Причина отказа Microsoft от SMS типична для всей отрасли: одноразовый код легко перехватывается через подмену номера (SIM-swap) и фишинговые звонки.
ИИ-ассистенты всё чаще становятся посредником между пользователем и системой: формируют платёжные поручения, меняют реквизиты, обращаются к корпоративным и чувствительным данным от имени владельца аккаунта. Аутентифицировать в такой модели нужно не пользователя, а связку «человек + агент + действие»: кто авторизовал агента, на какой объём операций и на какой период времени.
Одного фактора для этой связки недостаточно. Подтверждение усиливают проверкой живого присутствия (liveness), цифровым следом устройства (device fingerprint), оценкой уверенности модели (confidence-score) и поведенческим антифродом. Для банков и финтеха задача сводится к одному: архитектуру KYA/KYC/AML под агентские сценарии разумнее закладывать до того, как ассистент получит права на операции. Переделка после инцидента будет кратно дороже.
Криптовалюты: «приземление» иностранных бирж, AML-сервисы и поэтапная легализация
Минфин изучает возможность «приземления» иностранных криптобирж в России — соответствующий запрос поступил от зарубежных участников финансового рынка. По словам заместителя министра финансов Ивана Чебескова, обсуждается единый реестр легальных операторов, в котором национальные игроки окажутся в равных условиях с глобальными биржами. Локализация, по оценке участников рынка, пойдёт по пути традиционных финансов: создание российского юрлица, прозрачность бенефициаров, наличие технического центра обработки данных, взаимодействие с правоохранительными органами и Росфинмониторингом («Эксперт»).
Ко второму чтению законопроекта о цифровой валюте появилось отдельное регулирование AML-сервисов проверки происхождения криптовалют. Согласно разрабатываемому документу, с 1 июля 2026 года физические и юридические лица получат возможность легально покупать криптовалюту через лицензированных посредников — обменники из реестра Банка России, брокеров и доверительных управляющих. Расчёты криптовалютой на внутреннем рынке остаются под запретом, при этом для внешнеторговых операций условия делают более либеральными («Взгляд»; «ФедералПресс»).
Параллельно крупные нефинансовые игроки заходят в зону цифровых финансовых инструментов. Wildberries планирует запустить витрину для покупки цифровых финансовых активов в мобильном приложении уже летом 2026 года (ТАСС). В Узбекистане компания выстраивает финтех-экосистему: в феврале запустила оплату частями (BNPL), предложила сервис рассрочки Rahmat Nasiya при поддержке местного Octobank, в декабре 2025 года в Ташкенте начал работу WB Taxi. Стоимость крупнейшего логистического центра превышает $142 млн, запуск намечен на конец 2026 года (Tribune.kz).
За один-два месяца у крипты появились четыре новых правила: обменники работают только по лицензии, иностранные биржи обязаны открыть российское юрлицо, AML-сервисы получают отдельный статус, вывод в некастодиальные кошельки ограничен. Полноценный KYC и AML теперь нужны и тем, кто финансовой компанией не является: маркетплейсы и другие сервисы встраивают цифровые активы в свои продукты.
Что это значит для компаний
Сложно сводить новости недели к универсальной формуле «делайте KYC лучше». Полезнее обозначить решения, которые стоит принять до того, как их потребует регулятор, клиент или аудитор.
Завести реестр ИИ-агентов и распределить ответственность. Чат-боты, голосовые ассистенты, рекомендательные системы и алгоритмические витрины уже сейчас действуют от имени компании. Прежде чем регулятор задаст вопрос «кто принял это решение», стоит самим описать каждого агента: кто владелец внутри бизнеса, какие у агента права и лимиты, какие данные он использует, какие действия выполняет без участия человека. Без такого реестра доказать границу ответственности между компанией, подрядчиком и поставщиком модели в случае инцидента будет крайне сложно.
Перестроить аутентификацию с пользователя на связку «человек + агент + действие». Если ассистент готовит платёжное поручение, меняет реквизиты или обращается к чувствительным данным, проверять нужно не только владельца аккаунта. Полезные опоры здесь: проверка живого присутствия (liveness), цифровой след устройства (device fingerprint), оценка уверенности модели (confidence-score) и поведенческий антифрод. SMS-коды как единственный фактор постепенно уходят из персональных сценариев и в обозримом будущем уйдут из корпоративных.
Готовиться к надзору за алгоритмами, а не только за данными. Кейс BEUC показал, что регулятор спрашивает уже не только «как вы храните персональные данные», но и «почему ваш алгоритм пропустил мошенническое объявление в финансовый таргетинг». Для российского рынка это вопрос времени. Логика рекомендаций, скоринга, выдачи лимитов и подбора офферов должна быть описана так, чтобы её можно было показать внешнему проверяющему: на каких признаках строится решение, кто его подписывает, как фиксируется отказ или согласие клиента.
Подключить новые риск-сценарии к мониторингу. Обновлённые ориентиры ЦБ по контролю наличных операций, маркировка международных звонков, доверенные каналы восстановления доступа к «Госуслугам», поэтапная биометрия для МФО — всё это меняет состав риск-событий в антифрод-системах. Если правила скоринга не обновлены под новые пороги и сценарии, формально компания выполняет требования, но реальные атаки уходят в зону, где система ничего не видит.
Подготовить онбординг и AML-контур к работе с криптой и ЦФА. Для лицензированных обменников, брокеров и доверительных управляющих переход на легальный рынок с 1 июля 2026 года означает полный KYC, проверку источника средств и AML-сервисы на стороне инфраструктуры. Для маркетплейсов и нефинансовых платформ, встраивающих цифровые активы в продукт, — те же требования по 38-ФЗ и 115-ФЗ, без скидки на «непрофильный» бизнес.
Пересобрать договоры с подрядчиками и поставщиками моделей. ИТ-аутсорсер, разработчик ИИ-агента и провайдер биометрии оказываются внутри регуляторного контура компании. В договоре должны быть зафиксированы право аудита, ответственность за инциденты, обязанность раскрывать источники обучающих данных и журналы решений модели. Без этого вопрос «кто отвечает за ошибку агента» в момент инцидента превращается в спор без победителя.
